1

シングル サインオンの手法として Shibboleth 2.0 を使用する方法について調べています。私が持っている混乱の 1 つは、ID プロバイダー (IdP) がサービス プロバイダー (SP) に、ログインしているユーザーを正確に Web アプリに示すことができる電子メール属性を送信できるかどうかです。

たとえば、ユーザー Joe が、電子メール joe@acme.com で IdP に登録 (ユーザー作成/パスなど) するように指示され、アプリケーションが joe@acme.com を一意に識別できる場合、IdP からの認証応答はは、1.) はい、この人物は本人であり、2.) 彼のメール アドレスは joe@acme.com であることを示します。

Shibboleth フェデレーションにおける SSO の主な利点は、Joe が IdP で選択した特定のユーザー名とパスワードについてアプリケーションが何も知る必要がないことです。本当?もしそうなら、これは良い設計ですか、またはそのようなシステムを作ることのリスクと考慮事項は何ですか.

これが適切な設計でない場合、一般的な代替手段は何ですか?

私のアプリケーションでは、私は SSL の背後にあり、すべての個人の電子メールは既知であり、一意です。ありがとう。

4

1 に答える 1

0

はい、認証の一部は、ログインしたばかりのユーザーを識別することです。Shibboleth は、こ​​れを SAML 応答の一部として返すためのメカニズムを提供します。

会話のこの部分の一般的な説明については、https://spaces.internet2.edu/display/SHIB2/FlowsAndConfig#FlowsAndConfig-4.IdPIssuesResponsetoSPを参照してください。IdP は、希望する人物に関するすべての属性を含む「アサーション」を返します。Shibboleth は、特定の SP にのみ属性を送信できます。https://spaces.internet2.edu/display/SHIB2/IdPAddAttributeFilterを参照してください。

于 2010-12-21T16:23:24.583 に答える